社会工程学 之 网络钓鱼 (用户名和密码的窃取） 钓鱼网站是如何制作的

对于社会工程学，大家可能很陌生，对它的认识充其量不过是点皮毛，而人往往是网络安全中一个远比设备和程序更加重要的因素，围绕Kali中社会工程学工具包 Social Engineering Toolkit (SET)，我们展开这一期的主题是【网络钓鱼 (用户名和密码的窃取）】

🌙 前言

严正声明

仅限于技术讨论与分享 严禁用于非法途径

🌑 简介

社会工程攻击，是一种利用“社会工程学” (Social Engineering)来实施的网络攻击行为。比如下载的软件中捆绑了流氓软件、邮件中包含病毒、二维码中包括钓鱼网站等，都是近来社会工程学的成功应用的代表

Kali Linux系统中集成了一款社会工程学工具包（SET），它是一个基于Python的开源的社会工程学渗透测试工具

这套工具包由David Kenned设计，已经成为业界部署实施社会工程学攻击的标准

SET通常利用人们的好奇心、信任、贪婪等人性之恶，攻击人们自身的弱点。

SET最常用的攻击方法有：用恶意附件对目标进行E-mail钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段等

🌒 网络钓鱼

👴太公钓鱼 愿者上钩🐟

【注意】

SET中钓鱼网站攻击不适用于动态验证机制的网页

网站登录机制分为动态和静态验证两种，比如说有些网站的登录使用了图形验证码、短信验证码、二维码登录、图形滑块验证等，这些就是动态验证。

而比如一些内部后台、低级网站、学校管理平台、校园网登录平台等基本都是只要账号密码对就能上去，这就是静态验证。

🌓 SET菜单

1) Social-Engineering Attacks
社会工程攻击
2) Penetration Testing (Fast-Track)
渗透测试（快速通道）
3) Third Party Modules
第三方模块
4) Update the Social-Engineer Toolkit
更新社会工程师工具包
5) Update SET configuration
更新集配置
6) Help, Credits, and About
帮助、学分和关于
99) Exit the Social-Engineer Toolkit
退出社会工程师工具包

扣1进入社工模块：

1) Spear-Phishing Attack Vectors
矛式网络钓鱼攻击向量
2) Website Attack Vectors
网站攻击向量
3) Infectious Media Generator
感染性媒介发生器
4) Create a Payload and Listener
创建有效负载和侦听器
5) Mass Mailer Attack
群发邮件攻击
6) Arduino-Based Attack Vector
基于Arduino的攻击向量
7) Wireless Access Point Attack Vector
无线接入点攻击向量
8) QRCode Generator Attack Vector
QRCode生成器攻击向量
9) Powershell Attack Vectors
Powershell攻击向量
10) Third Party Modules
第三方模块

扣2选网站攻击模块：

1) Java Applet Attack Method
Java小程序攻击方法
2) Metasploit Browser Exploit Method
Metasploit浏览器漏洞利用方法
3) Credential Harvester Attack Method
凭证收割机攻击方法
4) Tabnabbing Attack Method
制表攻击法
5) Web Jacking Attack Method
Web劫持攻击方法
6) Multi-Attack Web Method
多重攻击Web方法
7) HTA Attack Method
HTA攻击方法

扣3进行凭证收集攻击：

1) Web Templates
Web模板
2) Site Cloner
站点克隆器
3) Custom Import
自定义导入

🌔 Web模板

注意避免80端口占用，引起冲突

扣1进行

最后，在物理机上面访问Kali的IP地址

即可得到谷歌登录页面

输入账号和密码(登录后会进行跳转到谷歌官网)：

返回Kali，可以看到成功收集到刚才输入的账号和密码

攻击成功

🌖 站点克隆器

除了选择 SET 自带的三个登录站点的模板外

SET 也允许自己选择站点进行克隆，伪造钓鱼网站。

扣2进入

接着将监听的地址设为本机IP(直接 Enter 键默认即可)

然后将克隆的网站地址设置为美团的登录页面

https://passport.meituan.com/account/unitivelogin?service=www&continue=https%3A%2F%2Fwww.meituan.com%2Faccount%2Fsettoken%3Fcontinue%3Dhttps%253A%252F%252Fwww.meituan.com%252F

即可成功克隆并进入监听状态：

最后，在物理机上面访问Kali的IP地址

即可得到美团登录页面

输入账号和密码：

返回Kali，可以看到成功收集到刚才输入的账号和密码

只不过美团对密码做了前端加密

别慌

攻击成功

🌗 自定义导入

并不推荐

但有特定需求可以自己考虑

🌘 总结和下期预告

综上所述，我们学会了如何制作钓鱼网站来窃取用户的密码

但是事实上用户并不会在一个网站和二维码中更容易相信网站

至于域名的问题

我们可以考虑URL劫持等等方法来让你相信这是一个正规的网站

但这不是我们要考虑的问题

在下一期，我们来探讨通过二维码扫码的方式

并结合网站钓鱼

如何窃取你的用户名和密码

几条防范建议：

• 永远不要点击来自未知发送者发送的链接

• 如果有必要就使用搜索引擎寻找目标网站或手动输入网站URL

• 关注网站的URL，有时网上的骗子对URL做了细微的改动，将流量诱导进了自己的诈骗网站

• 不要随意扫描二维码！你所扫描后到的网站可能是一个钓鱼网站